Posted by Operator Raspberry Robin kini menggunakan dua eksploitasi satu hari baru untuk mencapai peningkatan hak istimewa lokal, meskipun malware tersebut terus disempurnakan dan ditingkatkan agar lebih tersembunyi dari sebelumnya.
Artinya, “Raspberry Robin memiliki akses ke penjual eksploitasi atau pembuatnya mengembangkan sendiri eksploitasi tersebut dalam waktu singkat,” kata Check Point dalam laporannya minggu ini.
Raspberry Robin (alias worm QNAP), yang pertama kali didokumentasikan pada tahun 2021, adalah keluarga malware penghindar yang dikenal bertindak sebagai salah satu fasilitator akses awal teratas untuk muatan berbahaya lainnya, termasuk ransomware.
Dikaitkan dengan pelaku ancaman bernama Storm-0856 (sebelumnya DEV-0856), virus ini menyebar melalui beberapa vektor entri, termasuk drive USB yang terinfeksi, dan Microsoft menggambarkannya sebagai bagian dari “ekosistem malware yang kompleks dan saling berhubungan” yang terkait dengan kejahatan elektronik lainnya. grup seperti Evil Corp, Silence, dan TA505 .
Penggunaan eksploitasi satu hari oleh Raspberry Robin seperti CVE-2020-1054 dan CVE-2021-1732 untuk peningkatan hak istimewa sebelumnya disorot oleh Check Point pada April 2023.
Perusahaan keamanan siber, yang mendeteksi “gelombang besar serangan” sejak Oktober 2023, mengatakan para pelaku ancaman telah menerapkan teknik anti-analisis dan kebingungan tambahan untuk mempersulit deteksi dan analisis.
“Yang paling penting, Raspberry Robin terus menggunakan eksploitasi yang berbeda untuk kerentanan baik sebelum atau hanya dalam waktu singkat setelah diungkapkan kepada publik,” katanya.
“Eksploitasi satu hari tersebut tidak diungkapkan kepada publik pada saat digunakan. Eksploitasi untuk salah satu kerentanan, CVE-2023-36802, juga digunakan secara liar sebagai zero-day dan dijual di web gelap. “
Laporan dari Cyfirma akhir tahun lalu mengungkapkan bahwa eksploitasi untuk CVE-2023-36802 diiklankan di forum web gelap pada Februari 2023. Ini terjadi tujuh bulan sebelum Microsoft dan CISA merilis nasihat tentang eksploitasi aktif. Itu telah ditambal oleh pembuat Windows pada September 2023.
Raspberry Robin dikatakan telah mulai memanfaatkan eksploitasi untuk kelemahan tersebut sekitar bulan Oktober 2023, bulan yang sama ketika kode eksploitasi publik tersedia, serta untuk CVE-2023-29360 pada bulan Agustus. Yang terakhir ini diungkapkan secara publik pada Juni 2023, tetapi eksploitasi untuk bug tersebut baru muncul pada September 2023.